Unternehmen, die sich um den Schutz ihrer Kundendaten kümmern, stehen nicht nur rechtlich auf der sicheren Seite. Sie haben zudem das Vertrauen der Kunden und Partner auf ihrer Seite, womit sie einen klaren Wettbewerbsvorteil gewinnen. [...]
In den letzten Jahren haben Experten immer wieder über Grundsätze zum Datenschutz diskutiert. Grund waren häufig US-amerikanische Unternehmen wie Facebook oder Amazon, die einen eher laxen Umgang mit persönlichen Daten pflegen. Auch der NSA-Skandal hat ein trübes Licht auf den Datenschutz geworfen. Klar ist: Weitermachen wie bisher können nur die Verbraucher, nicht aber die Unternehmen, bei denen persönliche Daten Teil des Geschäftsmodells sind. Das Kippen des Safe-Harbor-Abkommens und die neue EU-Datenschutzgrundverordnung zwingen zum Handeln.
Seit dem Jahr 2000 war es Unternehmen erlaubt, personenbezogene Daten aus der EU in die USA zu transferieren. Rechtliche Grundlage bildete das sogenannte Safe-Harbor-Abkommen. Das ist seit dem 6. Oktober 2015 Geschichte, denn der Europäische Gerichtshof (EuGH) erklärte das Abkommen für ungültig. Informationen seien in den USA nicht ausreichend vor Geheimdiensten und anderen Behörden geschützt, so die Begründung. Aktuell wird das Nachfolgeabkommen „Privacy Shield“ viel diskutiert. Bis zu einer rechtlichen Einigung zwischen EU und USA sind jene Unternehmen auf der sicheren Seite, die lokale gesetzliche Regelungen immer strikt einhalten.
PRIVACY SHIELD
Betroffen von der Safe-Harbor-Entscheidung sind alle Unternehmen, die mit personenbezogenen Daten arbeiten, vor allem Soziale Netzwerke sowie US-amerikanische Cloud-Anbieter und -Dienstleister – aber auch alle Marketingabteilungen, die Kundendaten für ihre Kampagnen heranziehen. Und natürlich deren Geschäftskunden, die ihre Dienste zur Speicherung der personenbezogenen Daten von EU-Bürgern nutzen. Davon sind weit mehr Unternehmen betroffen als jene 4.400 Unternehmen, die nach Safe Harbor gelistet sind. Ob und wie das Privacy-Shield-Abkommen Safe Harbor ablöst, wird sich zeigen. Von den Datenschutzbehörden werden auch die aktuell geltenden Standardvertragsklauseln und die Binding Corporate Rules, mit denen auch Daten ins Ausland übermittelt werden können, hinterfragt.
Im Dezember 2015 hat sich die EU auf die konkreten Inhalte der EU-Datenschutzgrundverordnung geeinigt. Somit ist der Schutz sensibler Daten innerhalb der EU sichergestellt und es gibt EU-weite Standards. Mit ihrem in Krafttreten 2018 sind auch US-Unternehmen betroffen, die bisher dem Safe-Harbor-Abkommen unterlagen. Der wichtigste Grundsatz dabei: Personenbezogene Daten gehören dem Nutzer, nicht dem mit der Datenverarbeitung befassten Unternehmen. So soll der Nutzer künftig leichter Zugang zu seinen Daten bekommen und auf Wunsch umgehend erfahren, welche Daten über ihn gesammelt werden. Das beinhaltet auch leicht verständliche Angaben zum Hosting und Verarbeiten seiner Daten. Wer sich nicht an die rechtlichen Vorgaben hält, muss mit hohen Bußgeldern rechnen: bis zu 4 Prozent des globalen Jahresumsatzes.
Was bedeutet das nun konkret für europäische Unternehmen? Mit dem Kippen des Safe-Harbor-Abkommens hat die Europäische Gemeinschaft Fakten geschaffen, die Unternehmen nicht mehr von der Hand weisen können. Die Positionen rund um die EU-Datenschutzgrundverordnung und Safe Harbor machen deutlich, wo die Datenschutz-Reise hingeht: Der Verbraucher und seine persönlichen Daten stehen unter dem Schutz gesetzlicher Regelungen. Und Unternehmen, die in Europa Geschäfte machen, müssen sich strikt daran halten. Das weist vor allem Chief Marketing Officers und IT-Entscheidern eine neue Rolle zu: Sie müssen einen intensiven Blick auf den Datenschutz werfen und nun auch rechtliche Konsequenzen bei ihren Marketingstrategien bzw. IT-Investitionen bedenken.
AUSWIRKUNGEN FÜR UNTERNEHMEN
• Unternehmen, die bisher Nutzerdaten aus der EU in die USA übermittelt haben, sollten nun auf Alternativen ausweichen. Alternativen sind in dem Fall Datacenter- und Cloud-Anbieter und Anbieter von Website-Services oder Apps, die sich konkret um Datenschutzsicherheit für ihre Kunden gekümmert haben – beispielsweise in Form von Zertifizierungen, Regelungen mit Drittanbietern oder Datacenter auf europäischem Boden. CRM-Anbieter können bei Marketing- und Datenschutzverantwortlichen viel bewegen. Beispielsweise lassen sich Kundenprofile zentralisieren und Anwendungen bei der Datenverarbeitung integrieren. Das macht sie weniger angreifbar.
• Unternehmen, die nicht hundertprozentig wissen, wo ihre Kundendaten gehostet werden, sollten sich umgehend schlau machen. Dabei reicht es nicht, das Kleingedruckte in den AGBs des Cloud-Anbieters zu lesen. Es gilt direkt zu klären, wo die unternehmenseigenen Kundendaten gehostet werden und zu welchen Datenschutz- und Sicherheitsbestimmungen.
• Unternehmen, die mit personenbezogenen Daten arbeiten, sind nun in der Pflicht, sicherzustellen, dass es keine unerlaubten Zugriffe auf ihre Daten bzw. technischen Einrichtungen gibt. Das bedeutet, sie müssen sowohl technische als auch organisatorische Vorkehrungen für ihre Services treffen. Ein anerkanntes Verschlüsselungsverfahren ist wichtig, um alle personenbezogene Daten vor äußeren Angriffen zu schützen. Zudem sollten auch kleine Unternehmen unbedingt einen Datenschutzbeauftragten benennen und mit den nötigen Rechten ausstatten.
• Unternehmen, die einen sicheren CRM-Anbieter oder Datacenter-Betreiber suchen, sollten mit offenen Karten in die Verhandlungen gehen. Eine Vorabrecherche zeigt ihnen, welche Anbieter datenschutzkonform arbeiten: Gibt es Zertifizierungen, wo werden die Daten gehostet etc.? Wichtig ist, sich bis ins kleinste Detail erklären zu lassen, wo die Daten ihrer Kunden lagern werden und welches Verschlüsselungsverfahren angewendet wird. Konkrete Fragen nach Zertifizierungen lassen gewisse Vertragspartner bereits durchs Raster fallen. Bei der Auswahl des Anbieters können sich Kunden grundsätzlich an der Zertifizierung nach ISO 27001 orientieren.
Die Auseinandersetzung mit allen Prozessen, die personenbezogene Daten berühren, ist eine Versicherung für jedes Unternehmen. Mein Appell lautet daher: Denken Sie um in Sachen Datenschutz – er ist nicht Ihr Feind, sondern Ihr Freund. Denn Datenschutz ist Markenschutz. Investitionen in sichere Daten zahlen sich aus, weil Kunden und Partner die Bemühungen zu schätzen wissen.
Andres Dickehut|CEO Consultix GmbH
Be the first to comment